Бот-сеть, использующая Apple Mac, особо не уменьшается

Специалисты компании «Доктор Веб» продолжают отслеживать состояние крупнейшей бот-сети, состоящей из компьютеров под управлением Mac OS X.

В последнее время в открытых источниках появляются сообщения об уменьшении численности инфицированных троянцем BackDoor.Flashback.39 «маков», но компания "Доктор Веб" располагает иными статистическими данными – количество инфицированных компьютеров по-прежнему составляет порядка 650 000.

На 20 апреля по данным компании «Доктор Веб» в сети BackDoor.Flashback.39 зарегистрировано 817 879 бота, из них ежесуточно активность проявляют в среднем 550 000 инфицированных машин. Так, на 16 апреля в бот-сети BackDoor.Flashback.39 было зафиксировано 717 004 уникальных IP-адресов и 595 816 уникальных UUID инфицированных Apple-совместимых компьютеров, 17 апреля статистика продемонстрировала 714 483 уникальных IP и 582 405 уникальных UUID. При этом ежедневно в ботнете BackDoor.Flashback.39 появляются новые инфицированные компьютеры, не зарегистрированные в сети ранее. На опубликованном ниже графике показана динамика изменения численности ботнета BackDoor.Flashback.39 в период с 3 по 19 апреля 2012 года.

Однако в последнее время в отрытых источниках стали появляться публикации, рассказывающие о сокращении численности бот-нета BackDoor.Flashback.39. Как правило, такие материалы основываются на анализе статистики перехваченных управляющих серверов этой сети.

Троянец BackDoor.Flashback.39 использует сложный алгоритм подбора доменных имен своих управляющих серверов: имена основной части доменов генерируются на основе встроенных в ресурсы вредоносной программы конфигурационных данных, другая часть создается в зависимости от текущей даты. Троянец осуществляет последовательный опрос командных центров в соответствии с заложенными в него приоритетами. Основные домены командных серверов BackDoor.Flashback.39 были зарегистрированы компанией «Доктор Веб» еще в начале апреля, и к ним составляющие сеть боты обращаются в первую очередь. 16 апреля были зарегистрированы дополнительные домены, имена которых генерируются на основе даты. Поскольку данные домены используются всеми подверсиями ботнета BackDoor.Flashback.39, регистрация дополнительных доменов управляющих серверов позволила более точно подсчитать размер вредоносной сети, что отчетливо видно на графике. Однако следом за серверами, принадлежащими компании «Доктор Веб», троянцы обращаются с соответствующим запросом к принадлежащему неизвестным лицам командному центру 74.207.249.7, устанавливающему связь с ботами, но не закрывающему TCP-соединение. Это приводит к тому, что боты переходят в режим ожидания ответа сервера и, как следствие, не опрашивают остальные командные центры, многие из которых были специально зарегистрированы специалистами по информационной безопасности. Это и является причиной появления противоречивой статистики от разных антивирусных компаний - с одной стороны, Symantec и «Лаборатория Касперского» заявляли о значительном уменьшении числа ботов, с другой - данные компании "Доктор Веб" неизменно указывали на существенно большее число инфицированных компьютеров при очень слабой тенденции к их уменьшению. На иллюстрации ниже предлагается пример TCP-соединения с командным центром, вызывающего «зависание» ботов BackDoor.Flashback.39.

Стратегія охолодження ЦОД для епохи AI